Протокол IPSec (RFC 2401)

Назначение IPSec Узел АУзел В IP-пакет Разграничение доступа (фильтрация IP-трафика) Обеспечение целостности передаваемых данных Обеспечение аутентичности передаваемых данных Защита от повторной передачи IP-пакета Шифрование передаваемых данных

Семейство IPSec Протокол Authentication Header (AH) Протокол Encapsulated Security Payload (ESP) Протокол Internet Key Exchange (IKE) Аутентификация Контроль целостности Защита от повторной передачи IP-пакета Аутентификация Контроль целостности Защита от повторной передачи IP-пакета Шифрование Согласование алгоритмов шифрования Обмен ключами

Протокол АН Узел АУзел В IP-пакет Заголовок IP Данные Заголовок АН

Протокол АН Заголовок IPЗаголовок AH Заголовки вышележащих уровней и данные Next HeaderLength Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина)

Протокол АН Заголовок IPЗаголовок AHДанные Заголовок ТСP Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле Next Header

Протокол АН Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле Payload Len Длина

Протокол АН Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле SPI Метка безопасной ассоциации

Протокол АН Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле SN Наращивается для каждого следующего пакета

Протокол АН Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле Authentication Data хэш-функция (содержимое пакета, симметричный секретный ключ)

Протокол АН Поле Authentication Data Заголовок IP Заголовки верхних уровней Данные Заголовок AH Аутентифицировано

Протокол ESP Узел АУзел В IP-пакет Заголовок IP Зашифрованные данные Заголовок ESP (часть 1) Заголовок ESP (часть 2) Трейлер ESP Данные аутентификации

Протокол ESP Заголовок IP Заголовок ESP (часть 1) Заголовки вышележащих уровней и данные Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Трейлер ESP Данные аутентификации Зашифровано

Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Метка безопасной ассоциации Поле SPI

Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле SN Наращивается для каждого следующего пакета

Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле заполнителя Для правильной работы алгоритмов шифрования Для намеренного искажения размера пакета

Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле длины заполнителя Длина заполнителя в байтах

Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле Next Header Заголовок IP Заголовок ESP часть 1 Данные Заголовок ТСP Заголовок ESP часть 2

Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле Authentication Data хэш-функция (содержимое пакета, симметричный секретный ключ)

Протокол ESP Поле Authentication Data Заголовок IP Заголовок ESP Заголовки верхних уровней и данные Трейлер ESP Аутентифицировано

Протоколы АН и ESP - сравнение Заголовок IP Заголовок ESP Заголовки верхних уровней и данные Трейлер ESP Аутентифицировано Заголовок IP Заголовки верхних уровней Данные Заголовок AH Аутентифицировано Поле Authentication Data

Формирование пакета ESP Заголовки верхних уровней и данные Заголовок IP

Формирование пакета ESP Заголовки верхних уровней и данные Заголовок IP Заголовок ESP Трейлер ESP 1. Формирование заголовка ESP (часть 1) 2. Формирование трейлера ESP !»;%:?*(()_+ 3. Шифрование

Формирование пакета ESP Заголовки верхних уровней и данные Заголовок IP Заголовок ESP Трейлер ESP 4. Вычисление данных аутентификации 5. Добавление данных аутентификации в конец пакета !»;%:?*(()_+

Режимы работы IPSec Транспортный режим Туннельный режим Заголовок IP Заголовки AH или ESP Заголовки верхних уровней Новый Заголовок IP Заголовки AH или ESP Заголовки верхних уровней Заголовок IP

Схемы применения IPSec Узел АУзел В Схема узел-узел (точка-точка) Internet/ Intranet

Схемы применения IPSec Узел АУзел В Схема шлюз-шлюз Internet/ Intranet

Узел А Смешанная схема Internet Intranet Схемы применения IPSec

Протокол IKE Согласование алгоритмов шифрования и характеристик ключей, которые будут использоваться в защищенном сеансе; Непосредственный обмен ключами (в том числе возможность их частой смены); Контроль выполнения всех достигнутых соглашений.

Протокол IKE Безопасная ассоциация Security Association (SA) 32-разрядный индекс SPI IP- адрес узла назначения идентификатор протокола защиты (АН или ESP) Безопасная ассоциация

Безопасная ассоциация IPSec Узел АУзел В 32-разрядный индекс (SPI) IP- адрес узла назначения Идентификатор протокола защиты (АН или ESP) SA SA

Безопасная ассоциация IPSec Узел А Узел В Базы данных SA SAD SAD SAD SAD

Протокол IKE Установление защищенного соединения для процедуры обмена (IKE SA) Согласование параметров SA для защиты канала данных Этапы функционирования протокола IKE Фаза 1 Фаза 2

Фаза 1 Фаза 2 Начало Основной режим Агрессивный режим Быстрый режим с PFS Быстрый режим без PFS Обмен данными Новый канал IPSec или смена ключей для существующего канала Протокол IKE

Протокол IKE (фаза 1) Основной режим установления канала IKE SA SA Заголовок Nonce Ключ Sig[Cert]ID SA КлючNonce SigID[Cert] Инициирующая сторона Отвечающая сторона Заголовок

Протокол IKE (фаза 2) Быстрый режим установления канала IKE SA Nonce Ключ Sig[Cert] IDSA КлючNonceSigID[Cert] Инициирующая сторона Отвечающая сторона Заголовок SA 1 3 2

Базы данных IPSec Узел А Базы данных SAD и SPD SPDSPDSPDSPD SPDSPDSPDSPD SAD SAD

База данных SPD Узел А SPDSPDSPDSPD SPDSPDSPDSPD Селектор Политика Селектор Политика

База данных SPD Узел А SPDSPDSPDSPD SPDSPDSPDSPD Селектор Политика Селектор Политика IP-пакет может быть: отброшен пропущен с применением IPSec пропущен без применения IPSec

База данных SPD Узел А SPDSPDSPDSPD SPDSPDSPDSPD Селектор Политика Селектор Политика Селектор IP-адрес получателя IP-адрес отправителя Протокол (TCP или UDP) Имя FQDN или X.500 Порт отправителя Порт получателя

Пример работы IPSec Сеть 1Сеть 2 Internet/ Intranet SA1 Отправитель Получатель

Пример работы IPSec Сеть 1 Отправитель Отправка пакета IP-датаграмма SPD (исходящая) Селектор Политика Селектор Политика Параметры SA1 Параметры SA2 SAD (исходящая) SA1

Пример работы IPSec Сеть 2SA1 Получатель Получение пакета Параметры SA1 Параметры SA2 SAD (входящая) SPD (входящая) Селектор Политика Селектор Политика

Практическая работа 9 Настройка IPSec Настройка IPSec средствами ОС Windows 2000